خبر ویژه – اختلال در باز شدن سایت های HTTP از ابتدای 2016

ایجاد اختلال و محدودیت مشاهده وبسایتهای HTTP با مرورگرهای قدیمی و گوشیهای تلفن همراه با عمر بیش از 5 سال از ابتدای 2016

پروتکل http
پروتکل http
در حال حاضر کاربران اینترنتی ممکن است قفل کوچک سبزرنگ و یا طلایی رنگی را در گوشه نوار آدرس مرورگر اینترنتی خود مشاهده کنند اما از تاریخ یکم ژانویه سال 2016، این قفل رنگی برای درصد کمی از کاربران اینترنتی سراسر جهان ناپدید خواهد شد و در ادامه میلیون‌ها کاربر دسترسی خود به‌وب‌گاه‌های مختلف را از دست خواهند داد. این فرایند، ارتباطی مستقیمی با اصطلاح «SHA-1 Sunset» (کلیدواژه مورد استفاده اهل فن برای تشریح انقضای پشتیبانی از سطح خاصی از رمزگذاری) دارد. در واقع در سال آینده میلادی، الگوریتم‌های قدیمی‌تر از سطح رمزگذاری SHA-1 دیگر نیازهای لازم امنیتی برای وب‌گاه‌‌ها را برآورده نخواهند کرد و از همین رو بر اساس تحقیقات انجام شده از سوی شرکت امنیتی کلودفلیر آمریکا «CloudFlare» چیزی در حدود 33 میلیون نفر در سراسر دنیا، دسترسی خود به این وب‌سایت‌ها را از دست خواهند داد. این فرایند، به‌روزرسانی‌ای متداول برای قابلیت‌های امنیتی تحت وب است اما این تغییر که توسط کنسرسیوم تولیدکنندگان نرم‌افزاری مرورگرهای اینترنتی اتخاذ شده می‌تواند استفاده کاربران از اینترنت تلفن‌های هوشمند در کشورهای در حال توسعه را به شدت تحت تاثیر قراردهد. در نتیجه این امر، قسمتی از جمعیت آسیب‌پذیر دنیا با مجموعه‌ای از وب‌گاه‌هایی که نیاز به این پروتکل‌های امنیتی ندارند، تنها خواهند شد.

علت باز نشدن وبسایتهای HTTP در الگوریتم جدید 2016

تیم ارلین، مسئول قسمت امنیتِ آی‌تی در شرکت تریپ‌وایر در خصوص فرایندهای جدید امنیتی، توضیحات کاملی ارائه کرده است. او در این خصوص می‌گوید: «وقتی وب‌گاه‌ شما با مرورگر اینترنتی، ارتباط برقرار می‌کند فرایند ارسال و دریافت داده‌ها انجام خواهد شد. در طول فرایند رمزگذاری، وب‌گاه‌ و مرورگر وارد مکالمه‌ای برپایه استفاده از استعارات خاص خواهند شد. در این روند، از کدهای محرمانه و ایمن برای گفتگو استفاده خواهد شد که متفاوت از گفتگوهای معمولی است. قسمتی از ارتباطات بین مرورگر و وب‌گاه‌ به توافق بر سر استفاده از پیچیده‌ترین زبانی که هر دو طرف توانایی فهم آن را داشته باشند، اختصاص خواهد یافت. نفوذگران می‌توانند این الگوریتم را بشکنند و مکالمات موجود را شنود کنند؛ بنابراین همواره باید برنامه‌ای برای به‌روزرسانی این الگورتیم‌ها وجود داشته باشد.» خوشبختانه وب‌گاه‌ها و مرورگرهای زیادی وجود دارند که به‌طور پیش فرض از نسخه‌های رمزگذاری شده در قالب پسوند s و آدرس‌های https:// استفاده می‌کنند و به همین دلیل در صورتی که شما از مرورگری به‌روزرسانی شده استفاده کنید احتمالا به طور خودکار حداقل به سطح SHA-2 الگوریتم‌های امنیتی، ارتقا داده شده‌اید.

تاثیر تغییر الگوریتم بارگذاری http بر کشورهای جهان سوم

با توضیحات بالا، مرورگرها و سیستم‌عامل‌های قدیمی‌تر مانند ویندوز ایکس‌پی احتمالا از به‌روزرسانی‌های جدید رمزگذاری پشتیبانی نخواهند کرد. از سوی دیگر، فرایندهای جدید رمزگذاری به توان پردازشی بیشتری نیاز خواهد داشت و همین امر باعث خواهد شد تلفن‌های همراه قدیمی که اکثرا در کشورهای در حال توسعه مورد استفاده قرار می‌گیرند امکان استفاده از مرور امن در فضای وب را از دست بدهند. همین امر باعث خواهد شد کاربرانی که از تلفن‌هایی با عمر پنج‌سال به بالا استفاده می‌کنند با پیغام خطایی در هنگام درخواست برای مشاهده وب‌گاه‌‌هایی که نسخه‌های رمزگذاری شده ارائه نمی‌دهند، روبرو شوند. این در حالی است که پشتیبانی از SHA-2 در اروپای غربی و آمریکای شمالی به چیزی در حدود 99 درصد رسیده است؛ اما چیزی در حدود 5 درصد از کاربران اینترنتی در کشورهایی مانند چین، کامرون، یمن، سودان، مصر و لیبی از مرورگرهایی استفاده می‌کنند که فاقد پشتیبانی از SHA-2 هستند. از سوی دیگر پس از تاریخ 31 دسامبر، اکثر وب‌گاه‌‌های رمزگذاری شده، دسترسی خود برای جمعیتی که بیشترین نیاز به داده‌های رمزگذاری شده دارند را به پایان خواهند رساند.

واکنش وبسایتها و شرکت های مهم به این تغییر

از آنجایی که پشتیبانی از SHA-2 محدودیت‌های بیشتری را در مقایسه با الگوریتم‌های امنیتی پیشین به همراه خواهد داشت، تردیدهای زیادی برای شرکت‌های حاضر در حوزه فناوری ایجاد شده است.

واکنش فیسبوک به تغییر الگوریتم پشتیبان وبسایت های HTTP

«ایجاد تعادل میان اهداف مختلف و در نظر داشتن سیستم‌هایی ایمن در برابر نفوذگران و فراهم کردن این سطح امنیتی برای طیف گسترده‌ای از کاربران اینترنتی در سراسر جهان، اولویت ما خواهد بود. به‌نظر من صحیح نخواهد بود تا دسترسی ده‌ها میلیون کاربر به فضای اینترنت رمزگذاری شده را به پایان برسانیم. اکثر دستگاه‌های قدیمی فاقد این سطح امنیتی در کشورهای در حال توسعه یافته‌ای مورد استفاده قرار می‌گیرند که افراد بعضا به‌تازگی دسترسی به اینترنت پیدا کرده‌اند. ما باید به دنبال راه‌حل‌هایی کاربردی برای این فراد باشیم نه اینکه دسترسی آن‌ها به اینترنت امن را سخت‌تر کنیم.» این در حالی است که شرکتی مانند گوگل، پافشاری بیشتری برای غیرفعال‌کردن پشتیبانی از قابلیت‌های رمزگذاری قدیمی دارد. شرکت‌هایی مانند علی‌بابا هم اعلام کرده‌اند همچنان از نسخه‌های قدیمی‌تر رمزگذاری اینترنتی پشتیبانی خواهند کرد تا طیف گسترده‌تری از کاربران بتوانند دستگاه‌های خود را ارتقا دهند.

mir amir

کارشناس الگوریتم گوگل - کارشناس سئو و بهینه سازی سایت برای موتورهای جستجو - mir amir - website optimizer engineer

دیدگاهتان را بنویسید